Um grupo de hackers chineses de espionagem cibernética, rastreado como Budworm, tem sido observado atacando uma empresa de telecomunicações no Oriente Médio e uma entidade governamental na Ásia usando uma nova variante de sua backdoor personalizada 'SysUpdate'.
O malware SysUpdate é um trojan de acesso remoto (RAT) associado ao Budworm (também conhecido como APT27 ou Emissary Panda) desde 2020, suportando serviço, processo e gerenciamento de arquivos do Windows, execução de comando, recuperação de dados e captura de tela.
Em março de 2023, a Trend Micro reportou uma variante do SysUpdate para Linux, que tinha sido amplamente distribuída na internet desde outubro de 2022.
A variantes mais recente da backdoor SysUpdate foi avistada pela equipe Threat Hunter da Symantec, parte da Broadcom, na campanha mais recente que ocorreu em agosto de 2023.
A Symantec relata que a backdoor é implantada em sistemas das vítimas via DLL sideloading, aproveitando o executável legítimo 'INISafeWebSSO.exe'.
O arquivo DLL malicioso usado nos ataques do Budworm é identificado como 'inicore_v2.3.30.dll', plantado no diretório de trabalho, então ele é lançado antes da versão legítima devido ao sequestro da ordem de busca do Windows.
Ao carregar o SysUpdate no contexto de um processo de programa legítimo, os atacantes podem evadir a detecção de ferramentas de segurança em execução no host comprometido.
Junto com o SysUpdate, a Symantec reporta ver várias ferramentas publicamente disponíveis usadas nos últimos ataques do Budworm, como AdFind, Curl, SecretsDump e PasswordDumper.
Essas ferramentas ajudam os atacantes a realizar várias ações, incluindo despejo de credenciais, mapeamento de rede, propagação lateral em uma rede comprometida e roubo de dados.
Atacar empresas de telecomunicações tornou-se um alvo comum entre grupos de hackers patrocinados pelo estado e APT.
No último mês, pesquisadores relataram outros grupos de hackers invadindo empresas de telecomunicações para instalar malware personalizado chamado HTTPSnoop e LuaDream, com ambas infecções por malware fornecendo acesso à backdoor para as redes.
Budworm está ativo desde 2013, visando entidades de alto valor no governo, tecnologia, defesa e outros setores e indústrias chave.
Em 2020, o grupo de ameaças experimentou abusar da ferramenta Windows BitLocker para criptografar os servidores de várias empresas de jogos e apostas online, provavelmente para mascarar suas verdadeiras intenções de espionagem.
No início de 2022, o serviço de inteligência alemão alertou sobre as atividades do Budworm, destacando o risco de ataques à cadeia de suprimentos visando detentores de propriedade intelectual valiosa no país.
Mais tarde naquele ano, o Ministério das Relações Exteriores da Bélgica anunciou que vários ministérios de defesa e interiores do país haviam sido alvo dos hackers chineses.
Em agosto de 2022, a SEKOIA relatou que o Budworm havia criado sites falsos visando usuários chineses que promoviam um aplicativo de mensagens instantâneas multiplataforma chamado 'MiMi'.
Os arquivos de instalação do aplicativo falso infectaram alvos com uma nova backdoor chamada 'rshell', capaz de roubar dados de sistemas Linux e macOS.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...